LegalizeVerdrag tussen het Koninkrijk der Nederlanden en de Portugese Republiek inzake de uitwisseling en wederzijdse beveiliging van gerubriceerde gegevens
Het Koninkrijk der Nederlanden
en
de Portugese Republiek,
Hierna gezamenlijk te noemen „partijen” en elk afzonderlijk „partij”,
Erkennend de belangrijke rol die hun samenwerking speelt bij het waarborgen van vrede, internationale veiligheid en wederzijds vertrouwen,
Overwegend dat zij vergelijkbare beveiligingsnormen delen voor de bescherming van gerubriceerde gegevens en
Teneinde de wederzijdse beveiliging van gerubriceerde gegevens te waarborgen;
Zijn, in het belang van de nationale veiligheid, het volgende overeengekomen:
Artikel 1. Doel en reikwijdte
Dit Verdrag heeft ten doel de beveiliging te waarborgen van gerubriceerde gegevens die worden uitgewisseld tussen de partijen, tussen een partij en een opdrachtnemer onder de rechtsmacht van de andere partij, tussen opdrachtnemers onder de rechtsmacht van de respectieve partijen, of die worden gegenereerd in het kader van een bilateraal programma uit hoofde van dit Verdrag. In dit Verdrag worden de beveiligingsprocedures en regelingen voor deze beveiliging vastgelegd.
De partijen nemen alle passende maatregelen krachtens hun interne wetgeving om de beveiliging van gerubriceerde gegevens in overeenstemming met dit Verdrag te waarborgen.
Dit Verdrag vormt geen basis om de partijen ertoe te verplichten gerubriceerde gegevens te verstrekken of uit te wisselen.
Artikel 2. Begripsomschrijvingen
Voor de toepassing van dit Verdrag wordt verstaan onder:
- a). „Verdrag”, dit document met inbegrip van de Bijlage daarbij;
- b). „Gerubriceerd contract”, elk juridisch bindend instrument tot het leveren van goederen en/of diensten dat een van de partijen of een opdrachtnemer onder haar rechtsmacht aangaat met een opdrachtnemer onder de rechtsmacht van de andere partij, die gerubriceerde gegevens bevat of waarbij voor de uitvoering toegang of mogelijk toegang vereist is tot gerubriceerde gegevens. Dit begrip omvat tevens precontractuele activiteiten;
- c). „Gerubriceerde gegevens”, gegevens, ongeacht de vorm daarvan, die van een van de partijen een rubricering krijgen toegekend, waarvan de ongeoorloofde bekendmaking, verandering, compromittering of het verlies de belangen van een of beide partijen in meer of mindere mate zou kunnen schaden. Deze gegevens kunnen reproducties, vertalingen en materiaal dat nog ontwikkeld wordt omvatten;
- d). „Bevoegde beveiligingsautoriteit”, de overheidsautoriteit in een partij die verantwoordelijk is voor de implementatie van en toezicht op dit Verdrag. De bevoegde beveiligingsautoriteit kan een deel van zijn verantwoordelijkheden delegeren aan een gemachtigde bevoegde beveiligingsautoriteit;
- e). „Opdrachtnemer”, elke persoon (anders dan degenen die door een partij in dienst zijn genomen op grond van een arbeidsovereenkomst), rechtspersoon of andere vorm van organisatie onder de rechtsmacht van een partij, die een gerubriceerd contract aangaat of er door gebonden is. Dit begrip omvat tevens een onderopdrachtnemer;
- f). „Veiligheidsmachtiging bedrijfslocatie”, de administratieve vaststelling door de bevoegde beveiligingsautoriteit dat, vanuit beveiligingsoogpunt, een faciliteit gerubriceerde gegevens afdoende kan beveiligen, in overeenstemming met haar interne wetgeving;
- g). „Need to know”, het vereiste voor een bevoegde natuurlijke persoon, rechtspersoon of andere organisatievorm voor toegang tot, kennis van of bezit van gerubriceerde gegevens om hun officiële werkzaamheden of taken te kunnen uitvoeren;
- h). „Partij van herkomst”, de partij onder wier gezag gerubriceerde gegevens zijn gecreëerd;
- i). „Veiligheidsmachtiging personeel”, de administratieve vaststelling door de bevoegde beveiligingsautoriteit dat een natuurlijke persoon toestemming heeft gekregen voor de toegang tot en omgang met gerubriceerde gegevens tot en met een gespecificeerd rubriceringsniveau, in overeenstemming met haar interne wetgeving;
- j). „Programma-/Projectbeveiligingsinstructie” een samenstelling van beveiligingsvoorschriften en -procedures gebaseerd op een nationaal beveiligingsbeleid en ondersteunende richtlijnen, die worden toegepast op een specifiek programma of project teneinde de beveiligingsprocedures te standaardiseren;
- k). „Verstrekkende partij”, de partij of opdrachtnemer onder haar rechtsmacht die de gerubriceerde gegevens uit hoofde van dit Verdrag verstrekt aan de ontvangende partij;
- l). „Ontvangende partij”, de partij of opdrachtnemer onder haar rechtsmacht die de gerubriceerde gegevens uit hoofde van dit Verdrag ontvangt van de verstrekkende partij;
- m). „Rubriceringsgids”, een document dat hoort bij een gerubriceerd contract waarin de van toepassing zijnde rubriceringsniveaus voor elk onderdeel van dat gerubriceerd contract worden gespecificeerd;
- n). „Veiligheidsincident”, elk(e) ongeoorloofd(e) bekendmaking, verandering, compromittering, verlies, opslag of vernietiging van, toegang tot of omgang met gerubriceerde gegevens in strijd met de interne wetgeving en/of dit Verdrag;
- o). „Derde”, elke internationale organisatie, regering of staat, met inbegrip van natuurlijke personen, rechtspersonen of andere organisatievormen onder zijn rechtsmacht die geen partij is bij dit Verdrag.
Artikel 3. Bevoegde beveiligingsautoriteiten
De bevoegde beveiligingsautoriteiten van de partijen staan vermeld in de Bijlage bij dit Verdrag.
De bevoegde beveiligingsautoriteiten voorzien elkaar van de officiële contactgegevens en eventuele veranderingen daarvan.
Artikel 4. Rubriceringsniveaus
De volgende rubriceringsniveaus van de partijen komen overeen en corresponderen met de rubriceringsniveaus die in de interne wetgeving van de partijen staan vermeld. Het Engelse equivalent is een niet-officiële vertaling, die geen deel uitmaakt van de interne wetgeving van de partijen en niet gebruikt dient te worden om gerubriceerde gegevens aan te duiden.
| Voor het Koninkrijk der Nederlanden | Voor de Portugese Republiek | Equivalent in het Engels |
|---|---|---|
| Stg. ZEER GEHEIM | MUITO SECRETO | TOP SECRET |
| Stg. GEHEIM | SECRETO | SECRET |
| Stg. CONFIDENTIEEL | CONFIDENCIAL | CONFIDENTIAL |
| DEPARTEMENTAAL VERTROUWELIJK | RESERVADO | RESTRICTED |
Gerubriceerde contracten binnen het militaire domein met een rubriceringsniveau dat overeenkomt met „DEPARTEMENTAAL VERTROUWELIJK” worden behandeld als „CONFIDENCIAL” ten behoeve van het verstrekken van een veiligheidsmachtiging bedrijfslocatie ingevolge artikel 7.
Artikel 5. Beveiligingsmaatregelen
De partij van herkomst kent een rubriceringsniveau toe aan gerubriceerde gegevens en voorziet de gerubriceerde gegevens van een markering in overeenstemming met haar interne wetgeving.
De ontvangende partij voorziet alle gerubriceerde gegevens die zij ontvangen heeft van de verstrekkende partij van het rubriceringsniveau van de ontvangende partij dat overeenkomt met het door de partij van herkomst gegeven rubriceringsniveau in overeenstemming met artikel 4 en, wanneer van toepassing, in overeenstemming met het vijfde lid van dit artikel.
De ontvangende partij zal het rubriceringsniveau van uit hoofde van dit Verdrag ontvangen of gegenereerde gerubriceerde gegevens niet veranderen of intrekken zonder de schriftelijke goedkeuring van de partij van herkomst.
De partij van herkomst waarborgt dat de ontvangende partij op de hoogte wordt gebracht van elke verandering van het rubriceringsniveau van de verstrekte gerubriceerde gegevens.
De partij van herkomst kan de gerubriceerde gegevens tevens voorzien van vereisten voor de omgang ermee, om eventuele beperkingen te stellen aan het gebruik, de bekendmaking, vrijgave en toegang door de ontvangende partij.
Gerubriceerde gegevens die gezamenlijk worden aangemaakt door de partijen krijgen een rubriceringsniveau dat gezamenlijk wordt bepaald door de partijen.
De partijen kennen aan gerubriceerde gegevens die uit hoofde van dit Verdrag worden uitgewisseld of gegenereerd ten minste dezelfde beveiliging toe als aan hun eigen gerubriceerde gegevens met een vergelijkbaar rubriceringsniveau.
In overeenstemming met artikel 1, tweede lid, van dit Verdrag nemen de partijen alle passende maatregelen om te waarborgen dat de verstrekkende partij:
- a. de gerubriceerde gegevens voorziet van de juiste rubriceringsmarkering in overeenstemming met haar interne wetgeving;
- b. de ontvangende partij in kennis stelt van mogelijke voorwaarden voor vrijgave of beperkingen gesteld aan het gebruik van de verstrekte gerubriceerde gegevens.
In overeenstemming met artikel 1, tweede lid, van dit Verdrag nemen de partijen alle passende maatregelen om te waarborgen dat de verstrekkende partij:
- a. hetzelfde beveiligingsniveau aan gerubriceerde gegevens toekent als aan haar nationale gerubriceerde gegevens met een vergelijkbaar rubriceringsniveau;
- b. waarborgt dat gerubriceerde gegevens niet bekend worden gemaakt of vrijgegeven aan een derde zonder de voorafgaande schriftelijke toestemming van de partij van herkomst en, indien dit noodzakelijk wordt geacht, over de voorwaarden;
- c. de gerubriceerde gegevens uitsluitend gebruikt voor het doel waarvoor zij zijn vrijgegeven en in overeenstemming met de eisen voor gebruik van de partij van herkomst.
Artikel 6. Toegang tot gerubriceerde gegevens
Toegang tot gerubriceerde gegevens wordt uitsluitend verleend aan de natuurlijke personen die van de gegevens op de hoogte moeten zijn (need to know), zijn ingelicht over hun verantwoordelijkheden voor de beveiliging van gerubriceerde gegevens en een geheimhoudingsverklaring hebben ondertekend in overeenstemming met de interne wetgeving van de ontvangende partij.
In aanvulling op de vereisten van het eerste lid van dit artikel, wordt toegang tot gerubriceerde gegevens met een rubriceringsniveau dat overeenkomt met „CONFIDENTIAL” en hoger, zoals vermeld in artikel 4 van dit Verdrag, uitsluitend verleend aan de natuurlijke personen die een veiligheidsmachtiging personeel hebben op het overeenkomstige niveau of die anderszins gemachtigd zijn om toegang te krijgen tot gerubriceerde gegevens uit hoofde van hun functie, in overeenstemming met de interne wetgeving van de ontvangende partij.
Artikel 7. Gerubriceerde contracten
Op verzoek van de partij van herkomst deelt de bevoegde beveiligingsautoriteit van de ontvangende partij mee of een opdrachtnemer die onder de rechtsmacht van de ontvangende partij valt en deelneemt aan een gerubriceerd contract, een veiligheidsmachtiging bedrijfslocatie heeft gekregen op het vereiste rubriceringsniveau. Indien de opdrachtnemer niet, op dat punt, over een veiligheidsmachtiging bedrijfslocatie beschikt, of de veiligheidsmachtiging bedrijfslocatie van een lager niveau is dan vereist, stelt de bevoegde beveiligingsautoriteit die het verzoek ontvangt de verzoekende bevoegde beveiligingsautoriteit van dat feit in kennis.
Indien een partij of een opdrachtnemer onder haar rechtsmacht voorstelt een gerubriceerd contract met een rubriceringsniveau dat overeenkomt met „CONFIDENTIAL” of hoger, zoals vermeld in artikel 4 van dit Verdrag, te gunnen aan een opdrachtnemer onder de rechtsmacht van de andere partij, dient zij eerst de schriftelijke bevestiging te verkrijgen van de bevoegde beveiligingsautoriteit van de andere partij dat aan deze opdrachtnemer een veiligheidsmachtiging bedrijfslocatie met het juiste rubriceringsniveau is toegekend. Voor gerubriceerde contracten met het rubriceringsniveau dat overeenkomt met „RESTRICTED” zoals vermeld in artikel 4 van dit Verdrag, kan een veiligheidsmachtiging bedrijfslocatie vereist zijn indien dit verplicht wordt gesteld in de desbetreffende interne wetgeving van de opdrachtnemer.
In overeenstemming met artikel 1, tweede lid, van dit Verdrag waarborgt de partij onder wier rechtsmacht het gerubriceerde contract dient te worden uitgevoerd dat de opdrachtnemer:
- a. waarborgt dat alle natuurlijke personen die toegang krijgen tot gerubriceerde gegevens in kennis worden gesteld van hun verantwoordelijkheid de gerubriceerde gegevens te beveiligen in overeenstemming met de voorwaarden omschreven in dit Verdrag en in overeenstemming met hun interne wetgeving;
- b. de beveiligingsuitvoering op zijn locaties in het oog houdt;
- c. zijn bevoegde beveiligingsautoriteit onverwijld in kennis stelt van elk beveiligingsincident dat betrekking heeft op het gerubriceerd contract.
In aanvulling op artikel 7, derde lid, onderdelen a, b en c van dit Verdrag, met betrekking tot gerubriceerde contracten met een rubriceringsniveau dat overeenkomt met „CONFIDENTIAL” of hoger, zoals vermeld in artikel 4 van dit Verdrag, waarborgt de bevoegde beveiligingsautoriteit dat de opdrachtnemer een veiligheidsmachtiging bedrijfslocatie bezit met het juiste rubriceringsniveau teneinde de gerubriceerde gegevens te beveiligen en dat de natuurlijke personen die toegang dienen te krijgen tot gerubriceerde gegevens, een veiligheidsmachtiging personeel met het juiste rubriceringsniveau hebben.
Elk gerubriceerd contract dient beveiligingsvereisten te bevatten waarin de volgende aspecten vermeld staan:
- a. een rubriceringsgids;
- b. een procedure voor het melden van wijzigingen van het rubriceringsniveau;
- c. de kanalen en procedures die gebruikt dienen te worden voor het vervoer en/of de overbrenging van gerubriceerde gegevens;
- d. instructies voor de omgang met, opslag, vernietiging en retourneren van gerubriceerde gegevens;
- e. contactgegevens van de bevoegde beveiligingsautoriteiten die verantwoordelijk zijn voor het toezicht op de beveiliging van gerubriceerde gegevens die betrekking hebben op het gerubriceerde contract;
- f. de verplichting om de bevoegde beveiligingsautoriteit van de opdrachtnemer in kennis te stellen van elk beveiligingsincident en de verplichting voor opdrachtnemers om alle redelijke stappen te nemen om de gevolgen van een dergelijke beveiligingsinbreuk te beperken in samenspraak met de bevoegde beveiligingsautoriteit;
- g. wanneer een gerubriceerd contract geheel of gedeeltelijk wordt onderuitbesteed, de verplichting om alle bepalingen betreffende opdrachtnemers in dit Verdrag op te leggen aan de onderaannemer;
- h. een verwijzing naar dit Verdrag;
- i. een verklaring dat gerubriceerde gegevens die in het kader van het gerubriceerde contract worden uitgewisseld of gegenereerd, door de opdrachtnemer worden beschermd in overeenstemming met dit Verdrag.
De bevoegde beveiligingsautoriteit van de partij of een opdrachtnemer onder haar rechtsmacht die de toekenning van het gerubriceerde contract goedkeurt, stuurt een kopie van de beveiligingsvereisten naar de bevoegde beveiligingsautoriteit van de ontvangende partij, om het beveiligingstoezicht op het gerubriceerde contract te vergemakkelijken.
Wanneer de omvang of complexiteit van een programma of project en de betrokken gerubriceerde gegevens aanvullende beveiligingsvereisten nodig maken, stellen de partijen, via hun onderscheiden bevoegde beveiligingsautoriteiten, gezamenlijk een programma-/projectbeveiligingsinstructie op en voegen deze als bijlage toe aan het gerubriceerde contract.
De raadpleging van dit document komt niet in de plaats van het lezen van het oorspronkelijke Staatsblad of de Staatscourant. Wij aanvaarden geen aansprakelijkheid voor eventuele onnauwkeurigheden die voortvloeien uit de omzetting van het origineel naar dit formaat.